CoW Swap,這家以以太坊為基礎的去中心化交易所聚合商,於 2026 年 4 月 14 日暫停其協議。在攻擊者奪取其網站網域控制權並將用戶導流至一個惡意網站後,該網站會被設計用來竊取錢包授權;資安研究人員 Vladimir S. 評估,約有 $500,000 的數位資產遭竊取流出,且至少有一名用戶回報個人損失超過 $50,000。
已確認其底層智慧合約與後端 API 未受影響;攻擊面僅限於前端介面。我們懷疑,這與其說是 CoW Swap 特定的安全態勢故事,不如說是一個更具結構性的警訊:DeFi 產業對於 UI 層基礎設施攻擊的長期低估暴露——這種威脅向度是智慧合約審計所觸及不到的。
探索:現在就該買的最佳加密貨幣——CoinSpeaker 更新指南
CoW Swap 前端遭入侵:DNS 劫持、惡意授權,以及協議已確認的內容
其運作機制如下:攻擊者取得了 CoW Swap 網站網域的管理控制權——亦即用戶在與協議互動前會前往的 cow.fi 位址——並將該網域重新導向至一個惡意網站,該網站被設計用來模仿合法介面。
在 4 月 14 日協定世界時(UTC)14:54 之後的這段期間內造訪該網站並簽署交易授權的用戶,會暴露在可耗盡錢包的轉帳之下;在網域層級,並沒有任何跡象顯示出現異常。
區塊鏈安全公司 Blockaid 偵測並標記了 cow.fi 網域上的惡意活動,指出這是一種前端攻擊,能夠誘使用戶簽署導致資金被掏空的交易。
CoW Swap 團隊在一份公開聲明中確認了該情況:「我們現在正積極努力以解決此情況。CoW Protocol 的後端與 API 未受影響,但我們出於預防已先暫停它們。」
CoW Swap 團隊中一位以化名出現的成員 MooKeeper 表示,損失範圍仍在積極調查中,並將在之後進行更完整的評估,同時補充:「我們有證據顯示,少數用戶為非常小的金額簽署了惡意授權。」
這種描述,與 Vladimir S. 對鏈上被掏空 $500,000(來自多個位址)的估算存在張力——有些報導稱,該數字可能在攻擊披露後的三小時內逼近 $1 百萬,但這一更高數字尚未獲得獨立證實。
有必要在此標示一些細節的認識論狀態:被偷走資金的精確總額、攻擊者的身分,以及完整的受影響錢包清單,截至撰寫時仍未在公開披露中得到確認。
CoW DAO 建議所有用戶撤銷自 4 月 14 日 UTC 14:54 之後授予 CoW Swap 的任何授權;並建議使用例如 revoke cash 等工具來完成此流程。去中心化基礎設施供應商 Gnosis 的聯合創辦人兼執行長 Martin Köppelmann 指出,暴露似乎僅限於那些在受損網域啟用的幾小時內核准了協議互動的用戶。Aave 也為其整合方單獨停用了 CoW Swap 端點作為預防措施,並確認 Aave 自身的介面與協議未受影響。
探索:值得關注的最佳迷因幣——CoinSpeaker 更新排名
nextDisclaimer: Coinspeaker 致力於提供不偏不倚且透明的報導。本文旨在提供準確且即時的資訊,但不應將其視為財務或投資建議。由於市場狀況可能迅速變化,我們鼓勵您自行核實資訊,並在基於本內容做出任何決策前諮詢專業人士。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
加州男子 Marlon Ferro 盜竊冷錢包涉 2.5 億美元,獲刑 78 個月
根據美國司法部(DOJ)於 5 月 7 日發布的官方聲明,20 歲加利福尼亞州男子 Marlon Ferro 因參與一起全國性加密資產社交工程詐騙案,被聯邦法院判處 78 個月監禁,另判處 3 年監管釋放及 250 萬美元賠償金。據司法部聲明,該犯罪集團從多名受害者處竊取逾 2.5 億美元的加密資產。
Market Whisper25分鐘前
1inch 做市商 TrustedVolumes 遭攻擊,損失達 587 萬美元
區塊鏈安全公司 Blockaid 於美國東部時間 5 月 6 日在 X 發文披露,去中心化交易所聚合器 1inch 的流動性供應商及做市商 TrustedVolumes 正遭受持續攻擊,截至 Blockaid 聲明發布時,損失已達約 587 萬美元。
Market Whisper40分鐘前
Aave 清算 Kelp DAO 攻擊者頭寸,Arbitrum 投票同意解凍 rsETH
根據 Aave 於 5 月 7 日公告,Arbitrum DAO 針對解凍 4 月 18 日 rsETH 事件相關 ETH 的投票已達法定人數,逾 1,600 個地址,獲得社區一致支持。同日,Aave 依據既定治理程序,完成了對 Kelp DAO 攻擊者在 Aave 協議上剩餘 rsETH 頭寸的清算。
Market Whisper58分鐘前
1inch 流動性供應商 TrustedVolumes 遭受以太坊攻擊,竊取 587 萬美元
根據 Blockaid,1inch 的做市商與解算器 TrustedVolumes 於 5 月 7 日起在以太坊遭到攻擊。該漏洞是在 Blockaid 的安全監控系統中被偵測到,存在於由 TrustedVolumes 控制的自訂 RFQ 交易代理合約之內。攻擊者已經擷取
GateNews2小時前
Project Eleven 警告:690 萬枚 BTC 面臨量子威脅,Q-Day 最早 2030 年
後量子安全領域新創公司 Project Eleven 於 5 月 6 日發布報告,警告量子電腦突破現代加密技術的臨界點(Q-Day)最早可能於 2030 年到來,到 2033 年發生的概率超過 50%。報告同時估計,在特定條件下,約 690 萬枚比特幣面臨潛在量子攻擊風險,並呼籲加密貨幣生態系統加快抗量子遷移進程。
Market Whisper2小時前
第十一專案警告 Q-Day 可能早至 2030 年到來
Project Eleven 於週三發布一份報告,提出量子電腦打破現代加密的「拐點」,通常被稱為「Q-Day」,最早可能在 2030 年出現,並且到 2033 年時,該突破被描述為「比不可能更可能」。這家創業公司專注於後量子安全
Crypto Frontier3小時前
